严重性评估--我们如何进行漏洞评分

业界普遍使用CVSS标准评估漏洞的严重性，openEuler在使用CVSSv3进行漏洞评估时，需要设定漏洞攻击场景，基于在该攻击场景下的实际影响进行评估。漏洞严重等级评估是指针对漏洞利用难易程度，以及利用后对机密性、完整性、可用性的影响进行评估，并生成一个评分值。

CVSSv3基本指标

CVSS v3基本指标组涵盖了漏洞的各个方面：

• 攻击向量（AV）-表示攻击的“远程性”以及如何利用此漏洞。
• 攻击复杂性（AC）-讲述攻击执行的难度以及成功进行攻击需要哪些因素。
• 用户交互（UI）-确定攻击是否需要用户参与。
• 所需的权限（PR）-记录成功进行攻击所需的用户身份验证级别。
• 范围（S）-确定攻击者是否可以影响具有不同权限级别的组件。
• 机密性（C）-衡量信息泄露给非授权方后导致的影响程度。
• 完整性（I）-衡量信息被篡改后导致的影响程度。
• 可用性（A）-衡量用户在需要访问数据或服务时受影响的程度。

严重等级评估

基于CVSSv3评估标准，主要使用基础度量指标进行漏洞严重等级的评估，基础度量指标包含可利用性指标及影响指标。 可利用性指标反映漏洞组件的特征。每个可利用性指标根据漏洞组件打分，反映能导致成功攻击的漏洞属性。 影响指标指的是受影响组件的属性，根据成功攻击后影响最严重的组件进行打分，分析者应该将影响限制在合理的最终结果，确信攻击者能够达成这一结果。

评估原则

• 评估漏洞的严重等级，不是评估风险。
• 评估时必须基于攻击场景，且保证在该场景下，攻击者成功攻击后能对系统造成机密性、完整性、可用性影响。
• 当安全漏洞有多个攻击场景时，应以造成最大的影响，即CVSS评分最高的攻击场景为依据。
• 被嵌入调用的库存在漏洞，要根据该库在产品中的使用方式，确定漏洞的攻击场景后进行评估。
• 安全缺陷不能被触发或不影响CIA(机密性/完整性/可用性)，CVSS评分为0分。

评估步骤

对漏洞进行评估时，可根据下述步骤进行操作：

1. 设定可能的攻击场景，基于攻击场景评分；
2. 确定漏洞组件（Vulnerable Component）和受影响组件（Impact Component）；
3. 选择基础指标的值：

• 可利用指标（攻击向量/攻击复杂度/所需权限/用户交互/范围）根据漏洞组件选择指标值。
• 影响指标（机密性/完整性/可用性）要么反映对漏洞组件的影响，要么反映对受影响组件影响，以结果最严重的为准。

评估结果

在评估漏洞严重级别时，评估人员需要输出以下内容

1. 漏洞原理
2. 该漏洞的攻击场景及产生的危害
3. 评估指标值判定说明，确保每个CVSS指标值的判定有对应的依据

严重等级划分

和NVD评估分数差异说明

CVSS基础评分与受影响组件的版本号，提供和使用的方式，平台以及软件的编译方式相关，NVD评分考虑了漏洞被利用的所有场景，而openEuler是基于上游社区自己构建的，主要应用于服务器场景，所以对于openEuler开源产品来说，直接采用NVD评分是不合适的，因此openEuler对所有受影响的CVE有自己的评分，并且多数打分可能和NVD不同。